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(54) PROCEDE D'AUTHENTIFICATION A NOMBRE REDUIT DE BITS TRANSMIS. 

fe^ Procede d'authentification a nombre reduit de bits 
tfansmis. 

On reduit considerablement le nombre de bits de I'enga- 
gement envoye par I'entite a authentifier mais on augmente 
de quelques unites seuiement le nombre de bits de Pele- 
ment tire par I'entite authentifiante. 

Application aux precedes d'authentification dits a 
connaissance nulle. 
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PROCEDE D 'AUTHENTIFI CATION 
A NOMBRE REDUIT DE BITS TRANSMIS 

Domaine technique 

La P r6se nte invention a pour objet un 
precede d' authentication a nombre re duit de bi " 
transrais. Elle trouve une application dans la 
cryptographs dite a cle publique. Dans de tels 
precedes, une entite a authentifier possede une cle 
.o secrete et une cle publique associee. Une entite 
authentifiante a uniquement besoin de cette cle 
publique pour realiser 1 • authentif ication. 

encorp . L ' invention concerne plus precisement 
encore le domaine des procedes d' authentif ication a 
connaissance nulls ( "zero- knowledge", . Cela signifie 
que Identification se deroule suivant un protocol! 

ToL T PrOUV ' e ' 6t SOUS dSS h ^°theses reconnues 
conu.e parfaite.ent raisonnables par la coznmunaute 

T' " ri6n SUr 13 Cl * secr ^e de 

1 entite a authentifier. 

L'invention trouve une application dans 
tous les systemes necessitant d' authentif ier des 
entites ou des messages, ou de signer des messages, et 
Plus particulierement dans les systemes ou le nombre de 
bits transmis constitue un parametre critique. 

Etat de la technique anterieure 

d , idenHf . ^ nS . tOUS les Protocols connus 
d identification a connaissance nulle, !• entite a 
authentifier commence par fournir a 1' entite 
authentifiante un ou plusieurs "engagements" (notes c 
ou eventuellement x> fonctions de parametres choisis au 
hasard par l'entite a authentifier. 

fcU . Dans un deuxieme temps, l'entite 
authentifiante envoie a i- en tihA * «.v 

i entite a authentifier un 
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parametre ou "element" note e choisi au hasard (l a 
"question"). Dans un troisieme temps, l'entite a 
authentifier fournit a l'entite authentifiante un 
resultat correspondant y coherent avec le ou les 
engagement (s) x ou c. 

Dans ces applications, il est souvent 
important que le nombre total de bits transmis soit 
aussi petit que possible, afin notamment de reduire le 
temps de la communication et, dans certaines variantes 
des protocoles de base (decrites plus loin), de reduire 
le nombre de bits a stocker. 



Le but de 1' invention est de reduire de 
facon importante le nombre total de bits transmis dans 
15 la plupart des protocoles d • identification connus, tout 
en conservant le meme niveau de securite. Plus 
precisement, l» invention minimise le nombre de bits 
transmis dans le sens ou, de fagon prouvee, il est 
impossible de reduire encore ce nombre sans diminuer le 
20 niveau de securite fourni par le protocole auquel on 
1' applique. Pour certains protocoles (par exemple celui 
de FIAT-SHAMIR (l) cette minimisation a un prix, a 
savoir 1' augmentation du nombre de secrets que l'entite 
a authentifier doit detenir, ainsi qu'une augmentation 
25 proportionnelle non negligeable du nombre de calculs a 
effectuer. Pour d'autres (notamment ceux de SCHNORR (3) 
et de GUILLOU-QUISQUATER (4),, cette minimisation 
n'aggrave de fagon sensible aucune autre 
caracteristique et s'avere done particulierement 
30 interessante. 

A titre d' exemple, 1' invention permet 
d'economiser environ 18% des bits transmis dans le 
protocole d' identification de SCHNORR (3), pour des 
choix classiques de longueurs de parametres universels 
35 et de niveaux de securite. 
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De fagon generale, la plupart des 
protocoles d 1 identification a connaissance nulle 
existants, se deroulent en trois echanges, qui vont 
etre decrits. On suppose, afin de simplifier la 
description, que l'entitfe authentif iante B connait deja 
tous les parametres publics caracteristiques de 
l'entite a authentif ier A (identite, cle publique, 
etc.) et necessaires a son identification. 

Lors du premier echange, A fournit a B un 
ou plusieurs engagements c. Lors du second echange, B 
envoie a A l f element e. Lors du troisieme echange, A 
fournit a B le resultat y correspondant a 1' element e, 
coherent avec le ou les engagement (s) c. Dans certains 
protocoles, il y a deux echanges supplementaires entre 
A et B, consistant en un element et un resultat de 
plus. C'est le cas du protocole de Shamir (2). 

Le nombre u de questions possibles est 
directement relie au niveau de securite du protocole. 
Plus pr&cisement, on peut montrer que, si le protocole 
repose sur un problerae mathematique difficile, et si 
les engagements sont de longueur suffisante (ou la 
longueur designe le nombre.de bits), alors le niveau de 
securite, que l'on d6finit ici comme la probability de 
detection d'un imposteur (c'est-a-dire d'une entite C 
qui tente f rauduleusement de se f aire passer pour A) , 
est egal a 1- (1/u) . 

Souvent, on cherche a rendre le nombre de 
bits transmis au cours du premier echange aussi faible 
que possible (les engagements sont aussi courts que 
possible), de fagon a reduire le temps et le cout de 
1 'authentication. Cependant, il peut etre demontre 
que la longueur d'un engagement ne peut etre choisie 
sous un certain seuil sans contrepartie, sauf a 
amoindrir le niveau de securite du protocole. Ce seuil 
depend de 1 1 environnement et plus particulierement du 
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nombre d T operations elementaires repute "impossible en 
pratique" a executer en un temps et avec des moyens 
informatiques se situant "a l'echelle humaine". De 
facon traditionnelle, ce nombre est souvent pris 6gal a 
5 2 64 auquel cas le seuil evoque ci-dessus est d 1 environ 
128. Pour des raisons de commodity, a 1 est ce choix qui 
sera fait dans la description qui suit/ mais cette 
description pourrait facilement etre adaptee a d'autres 
choix. 

10 Avec ce choix, la limite des 128 bits pour 

c ne peut etre franchie sans nuire a la securite. En 
particulier, une longueur d 1 engagement de 64 bits 
seulement permet a l'imposteur de (au minimum) doubler 
la probabilite de r6ussite de son imposture, et meme, 

15 dans certains cas, de rendre cette probabilite 6gale & 
1. 

L 1 invention permet de franchir la limite de 
128 bits pour les engagements (jusqu'a environ 70 
bits)/ sans pour autant diminuer le niveau de security. 

20 D'apres ce qui a ete expose plus haut, ceci est 
impossible si le reste du protocole est inchang£ : il y 
a done necessairement une contrepartie. L'interet de 
l f invention est que cette contrepartie est mineure : il 
suffit d 1 augment er legerement le nombre u de questions 

25 possibles, ce qui/ en pratique, se traduit par une 
augmentation de trois ou quatre bits de la longueur de 
e. 

Expose de 1 'invention 

30 L' invention consiste done a diminuer de 

fagon importante la longueur des engagements (d T environ 
60 bits) et augmenter legerement la longueur des 
questions (de 3 ou 4 bits), le protocole modifie 
suivant 1' invention ayant exactement le meme niveau de 

35 security que le protocole non modifie. 
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L 1 invention s' applique egalement aux 
sch<§mas d 1 authentif ication de messages et 
eventuellement de signatures numeriques de messages, 
sous certaines conditions explicitees par la suite. 

5 

De facon precise, 1' invention a pour objet 
un procede d T authentif ication a nombre reduit de bits 
transmis, entre une premiere entite dite a authentifier 
et une seconde entite dite authentif iante, ce procede 
10 comprenant les operations suivantes : 

a) l f entite a authentifier choisit au hasard un 
nombre entier r, calcule un nombre appele 
engagement x ou c fonction du nombre entier r et 
envoie cet engagement x ou c a l 1 entite 

15 authentifiante, cet engagement comprenant un 

certain nombre de bits, 

b) 1' entite authentifiante regoit 1 ! engagement x ou 
c, choisit au hasard un nombre e dans un certain 
intervalle, ce nombre etant appele "element" et 

20 ayant un certain nombre de bits et envoie cet 

element e a 1' entity a authentifier, 

c) 1' entite a authentifier recoit l f element e, 
effectue un calcul utilisant cet element e et 
envoie le resultat y a l 1 entite authentifiante, 

25 d) l f entite authentifiante recoit le resultat y, 
effectue un calcul utilisant le resultat y et 
verifie que le resultat de ce calcul est 
identique & 1' engagement regu x ou c auquel cas 
la premiere entite est authentifiee ; 

30 un niveau de securite egal a 1 - pouvant etre 

defini pour cette authentif ication, a supposer que 
1 ? engagement x ou c possede un certain nombre minimum N 
de bits et l f element e un certain nombre k de bits, 
ce procede etant caracterise par le fait que : 
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le nombre de bits de 1 T engagement x ou c est pris 
tres inf£rieur a N ; 

le nombre de bits de l 1 element e est pris un peu 
superieur a k ; 
le niveau de securite restant alors le meme. 

Expose d6taill6 de modes de realisation 

La definition precedente de 1' invention 
s' applique notamment a trois protocoles connus, qui 
vont maintenant etre d§crits a titre d'exemples non 
limitatifs, ci savoir, respectivement, le protocole de 
SCHNORR, celui de GUILLOU-QUISQUATER et celui de FIAT- 
SHAMIR. 

1) PROTOCOLE DE SCHNORR 

Le protocole d f identification de CP, 
SCHNORR (3) est base sur la difficulty de calculer des 
logarithmes discrets. Les parametres universels (c'est- 
a-dire ceux partag£s par tous les utilisateurs) sont : 

- un grand nombre premier p, 

- un nombre premier q tel que q soit un nombre 

premier divisant p-1 ou soit egal a p-1, 

- un entier a (la "base") tel que a^=l (mod p) , 

- un petit entier k. 

Les longueurs recommandees pour n et q sont 
respectivement (au moins) de 512 bits et 140 bits ; k 
determine le nombre u de questions possibles par la 
relation u=2^. Une valeur typique de k est 40 (ou 72 
pour le schema de signature correspondant) . 

La cl£ secrete d'un utilisateur est un 
entier s pris dans l'intervalle {l...g}. Sa cle 
publique est v=oT s (mod p) . Le protocole est le 
suivant : 
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a) L'entite a authentifier choisit au hasard un 
entier r dans 1 ' intervalle {l*..g}, calcule 

x=a r (mod p) et envoie x au verificateur . 

b) L'entite authentif iante choisit au hasard un 
5 element e dans l'intervalle {0...2*-l} et envoie 

e a l'entite a authentifier. 

c) L'entite k authentifier calcule y=r+se (mod q) et 
envoie y a l'entite authentif iante . 

d) L'entite authentif iante controle que 
10 x=aYv e (mod p) . 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entite authentif iante avec 
une probability egale a 2~ k , en choisissant un entier 

15 y, un element e et en calculant x comme a 1'etape d) . 
Comme on peut prouver que, si le probleme du logarithme 
discret est difficile, il ne peut substantiellement 
ameliorer cette probabilite, le niveau de securite est 
done egal a 1-2"^, 

20 Afin de diminuer le nombre de bits 

transmis, l'auteur du protocole a suggere d'envoyer a 
1'etape a) 1' engagement c=h(x) ou h est une fonction 
pseudo-aleatoire . L' equation de verification de 1'etape 
d) devient alors : 

25 c=h {aY^ (mod p) ) . 

Afin de conserver un niveau de securite 
egal a 1-2"^, il est necessaire, toutes choses egales 
par ailleurs, que la longueur de c soit au moins de 128 
bits . 

30 Dans le protocole modifie selon 

1' invention, la longueur de 1 ! engagement de c est 
reduite par exemple a 70 bits et cette reduction est 
compensee par une augmentation de la longueur de e de 
trois bits seulement. Une autre possibilite est de 

35 choisir 69 bits pour c et quatre bits d 1 augmentation 
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pour e. II peut alors etre demontre que le niveau de 
securite du protocole ainsi modifie reste egal a 1-2"*. 
On a ainsi reduit le nombre total de bits transmis de 
55 bits- Si l'on prend £=40, alors ce nombre total est 
5 egal a : 70+ (40+3) +160=273 au lieu de 128+40+160=328 
avec des engagements de 128 bits, soit ton. gain 
d' environ 18%. 

L f invention est particulierement bien 
adaptee a ce protocole, en ce sens qu'elle n'entraine 

10 aucun changement des parametres universels principaux, 
a savoir p, q, a, ni raeme des parametres individuels 
(cles secrete et publique de 1'utilisateur) . De plus, 
elle est particulierement utile dans un mode 
d* utilisation particulier de ce protocole, qui consiste 

15 & stocker par avance les engagements. Ce mode 
d f utilisation est utilise lorsque le dispositif de 
s§curit£ de l'entit§ £ authentifier ne dispose pas des 
ressources lui permettant d'effectuer des operations 
modulo un nombre de 512 bits (premier cas), ou bien les 

20 effectue en un temps trop eleve pour que I'etape a) 
puisse §tre ex£cutee au moment meme de 
1 1 authentif ication (deuxieme cas). 

Dans le premier cas, les engagements sont 
calculus par une autorite de confiance puis stockes 

25 dans la carte : le dispositif ne peut alors etre 
authentif i£ qu'un nombre limite de fois, egal au nombre 
d' engagements stockes. Cependant, lorsque ce nombre est 
atteint, il peut, par une procedure de rechargement 
d'engagements (eventuellement a distance), etre a 

30 nouveau capable d'effectuer des authentif ications. Dans 
le deuxieme cas, les engagements sont calcules par le 
dispositif de l'entite a authentifier prealablement a 
1' authentif ication. Dans les deux cas, afin de ne pas 
avoir & stocker les nombres aleatoires r 

35 correspondants, ces nombres sont avantageusement 
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produits par un generateur pseudo-aleatoire contenu 
dans le dispositif de securite de I'entite a 
authentifier . 

A titre d T exemple, si le dispositif de 
5 securite de I'entite a authentifier est une carte k 
microprocesseur standard, alors l'etape a) ne peut etre 
realisee en un temps satisf aisant par la carte et meme, 
dans certains cas, ne peut etre realisee du tout. II 
est alors necessaire de recourir au mode d'utilisation 

10 evoque ci-dessus, et il est tres avantageux d'utiliser 
l 1 invention, qui ne requiert que le stockage de 70 bits 
pour une authentif ication. Si l'on peut disposer de 
IKoctet de memoire reprogrammable a cette fin, alors la 
carte pourra effectuer 117 authentif ications, apres 

15 quoi il faudra recharger de nouvelles valeurs 
d r engagements . 

Cette variante est encore plus int6ressante 
dans le cas du protocole d6crit dans la demande de 
brevet frangais n°94 01271 du 4 fevrier 1994 intitulee 

20 "Procede de signature numerique et d f authentif ication 
de messsages utilisant un logarithme discret" , car, 
dans ce protocole, l'etape c) ne contient pas 
d f operation modulo, ce qui fait que ce type d' operation 
n' a pas besoin d T etre realisee dans la carte a 

25 microprocesseur . 

2) PROTOCOLE GUILLOU-QUISQUATER 

Le protocole d f identification de GUILLOU et 
QUISQUATER (4) est base sur la difficulty de factoriser 
30 des grands entiers. Dans la version dite "basee sur 
l'identite" de ce protocole, une autorite de confiance 
est utilisee pour calculer les cl£s secretes des 
utilisateurs . Les parametres universels sont : 
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- un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de l'autorite de 
confiance) , 

- un entier premier u de nombre de bits k. 

5 La taille recommand£e pour n est au minimum 

de 512 bits. Une valeur typique de k est 40 bits (ou 72 
pour le schema de signature correspondant) . 

La cle publique de l'entite a authentifier 
est sont "identite" (c 1 est-a-dire une chaine binaire J 
10 contenant des informations a son propos et/ou a propos 
de son dispositif de securite) . Sa cl§ secrete est la 
valeur s telle que s u J=l (mod n) . 

Le protocole de base est le suivant : 

a) L' entity a authentifier choisit au hasard un 
15 entier r dans l'intervalle {0..n}, calcule 

x=r u (mod n) et envoie x a 1' entity 
aut hent i f i an t e , 

b) l'entite authentif iante choisit au hasard un 
element e dans l'intervalle {0, u-1} et envoie e 

20 a l 1 entity a authentifier, 

c) l'entite a authentifier calcule y=rs e (mod n) et 
envoie y a l'entite authentif iante, 

d) l'entite authentif iante controle que : 

x=y u I e (mod n) . 

25 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entite authentif iante avec 
une probability egale a 1/u, en choisissant un entier 
y, un element e et en calculant x comme dans l'etape d. 
30 Comme on peut prouver que, si le probl&me de la 
factorisation est difficile, il ne peut 
substantiellement ameliorer cette probability, le 
niveau de securite est done egal a l-(l/u), qui est de 
l'ordre de l-2~*. 
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Afin de diminuer le nombre de bits 
transmis, on peut envoyer a l'etape a) 1 'engagement 
c=h{x) ou h est une fonction pseudo-aleatoire . 
L' equation de verification de I'etape d) devient 
alors : 

c=h(y u I e (mod n) . 

Afin de conserver un niveau de securite du 
protocole de base egal a 1-2 - *, ii est necessaire, 
toutes choses egales par ailleurs, que la longueur de c 
soit au moins de 128 bits. 

Dans le protocole modifie selon 
1' invention, la longueur de c est reduite par exemple a 
70 bits et cette reduction est compensee par une 
augmentation de la longueur de e de trois bits 
seulement, ce qui implique une augmentation d'autant de 
la longueur de u. Une autre possibility est de choisir 
69 bits pour c et quatre bits d f augmentation pour e. II 
peut alors etre demontre que le niveau de securite du 
protocole de base ainsi modifie reste egal a 1-2""*. On 
a ainsi reduit le nombre total de bits transmis de 55 
bits. Si l'on prend k-AO, alors ce nombre total est 
egal a 70+ (40+3) +512=625 au lieu de 128+40+512=680 avec 
des engagements de 128 bits, soit un gain d' environ 8%. 

Les variantes decrites dans le cas du 
protocole de SCHNORR sont encore applicables ici, mais 
sont moins interessantes en ce sens que I'etape c) 
consiste en une operation modulaire importante qui, 
contrairement a celle de l'etape a), ne peut etre 
effectuee a I'avance. 

3°) PROTOCOLE FIAT -SHAMIR 

Le protocole d' identification de FIAT et 
SHAMIR (1) est base sur la difficulty de factoriser des 
grands entiers. Dans la version dite "basee sur 
l'identite" de ce protocole, une autorite de confiance 
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est utilisee pour calculer les cles secretes des 
utilisateurs . Les parametres universels sont : 

- un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de l'autoritS de 
conf iance) , 

- deux petits entiers k et t, 

- une fonction pseudo-aleatoire f. 

La taille recommandee pour n est au minimum 
de 512 bits. Les valeurs de k et t sont 6troitement 
reliees au niveau de securite du protocole (comme il 
sera decrit plus loin) ; le nombre u de questions 
possibles et le paramStre k sont relies par la relation 
u=2 k . Des valeurs typiques de k et t sont 8 et 5 (ou 9 
et 8 pour le schema de signature correspondant ) . 

La cle publique de 1 T entity a authentifier 
est son "identite" (c ' est-a-dire une chaine binaire J 
contenant des informations a son propos et/ou a propos 
de son dispositif de securite) . Sa cle secrete est 
constituee de k valeurs Sj calculees comme suit : soit 
Vj=f(Ij) pour k petites valeurs de j telles que Vj est 
un carre dans 1' ensemble des entiers modulo n (pour la 
commodite de la description, on supposera que jf»l..Jfe). 
Alors Sj 2 Vj=l (mod n) pour toute valeur de j. 

Le protocole de base est le suivant : 

a) l'entite a authentifier choisit au hasard un 
entier r dans l'intervalle {0..n}, calcule 
x=r 2 (mod n) et envoie x a l 1 entity 
authentif iante, 

b) l'entite authentif iante choisit au hasard un 
element e=(e lt e 2 , e k ) dans {0,1}^ et envoie 
e a l'entite a authentifier, 

c) l'entite a authentifier calcule y^r^J Sj (mod n) 

et envoie y a l'entite authentif iante, 
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d) 1 1 entite authentif iante calcule tous les vj et 
controle que : x=y 2 J^[ Vj (mod n) . 

On remarque qu ! un imposteur (qui ignore s) 
peut facilement tromper une entite authentif iante avec 

5 une probability 6gale a 2~ k , en choisissant un entier 
y, un £l£ment e et en calculant x comme dans I'etape 
d) . Comme on peut prouver que, si le probleme de la 
factorisation est difficile, il ne peut 
substantiellement ameliorer cette probability, il 

10 suffit de r£peter t fois le protocole de base pour 
obtenir un niveau de securite egal a 1- (1/u) t=\~2~ kt . 

Afin de diminuer le nombre de bits 
transmis, les auteurs du protocole ont suggere 
d f envoyer a l'etape a) l 1 engagement : c=h{x) ou h est 

15 une fonction pseudo-aleatoire. L' equation de 
verification de l'etape d) devient alors : 
c=h iy 2 Y\ v j ( mod n ' ) 

e 3 =l 

Afin de conserver un niveau de securite 
du protocole de base egal a 1-2"^, il est necessaire, 
20 toutes choses egales par ailleurs, que la longueur de c 
soit au moins de 128 bits. 

Dans le protocole modifie selon 
l f invention, la longueur de c est reduite par exemple a 

25 70 bits et cette reduction est compensee par une 
augmentation de la longueur de e de trois bits 
seulement. Une autre possibility est de choisir 69 bits 
pour c et quatre bits d 1 augmentation pour e. II peut 
alors etre demontr£ que le niveau de securite du 

30 protocole de base ainsi modifie reste egal a l-2~k. On 
a ainsi r£duit le nombre total de bits transmis de 55 
bits. Si l'on prend k=Q et t=5, alors ce nombre total 
est egal k : 70+ (8+3) +512=593 au lieu de 128+8+512=648 
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avec des engagements de 128 bits, soit un gain 
d' environ 8,5%. 

Cependant, un inconvenient de l 1 invention 
appliquee a ce protocole d f identification est qu'elle 

5 implique un plus grand nombre de secrets, puisque la 
longueur de e est pr£cisement §gale a ce nombre, a 
savoir k. De plus, le nombre de multiplications 
supplementaires k effectuer par chacune des entites 
augmente proportionnellement de fagon importante, et ce 

10 d'autant plus que k est choisi petit- Ainsi, 
l 1 invention comporte-t-elle dans ce cas des avantages 
et des inconv6nients . 

L f invention qui vient d'etre decrite porte 

15 sur une authentif ication d'entite. Mais l f invention, 
s 1 applique a d'autres schemas comme 1 ' authentif ication 
de messages et la signature numerique de messages. 

Dans les schemas d f authentif ication de 
messages et de signature numerique de messages, 

20 l'entite a authentif ier, en plus de prouver son 
identite, attache cette identite a un message donne. 
Cela se passe de maniere interactive dans les schemas 
d' authentif ication de message et de maniere non 
interactive dans les schemas de signature de message. 

25 L 1 invention est susceptible de s f appliquer surtout aux 
schemas d T authentif ication de messages derives de 
protocoles d' identification a connaissance nulle (en 
particulier les trois protocoles precites) . 

Le fait que 1' invention s f applique ou non a 

30 ces schemas depend de la fagon exacte dont ils sont 
derives du protocole d f identification initial. La fagon 
classique consiste a faire figurer le message M dans 
les param£tres y de la fonction pseudo-aleatoire h, ce 
qui donne : 

35 o=h{x,M) au lieu de c=h(x). 
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Dans les schemas d 1 authentif ication de 
messages, le reste du protocole ne differe pas, a 
l f adaptation evidente pres de 1' operation d) de 
verification. Dans les schemas de signature, pour 
lesquels l'entite signataire n'intervient pas dans les 
stapes a) et b) , on choisit e=c, ce qui, a priori, 
enleve de l'interet a 1' invention. Pour les deux types 
de schemas, il y a de toute faqon la crainte que, si c 
est inferieur a 128 bits, alors l'entite a authentif ier 
ne soit capable, pour un nombre >: issu du protocole, de 
trouver deux messages distincts M et M' aboutissant a 
la meme valeur de c. 

Si l'on se trouve dans un environnement ou 
l f on n f a pas cette crainte (soit que la mise en oeuvre 
du protocole dans le dispositif de securite rende cette 
attaque impossible, soit que l'on considere que les 
entites & authentifier sont dignes de confiance soit 
encore qu'une telle attaque serait sans interet pour 
eux) , alors 1' invention s 1 applique. 

De fagon generale, 1 1 application de 
1' invention a d'autres schemas que des protocoles 
d f identification est possible, mais depend des 
specifications exactes de ces schemas ainsi que de leur 
realisation pratique. 

A titre d'exemple, le schema 

d' authentif ication de message derive du protocole de 
SCHNORR est le suivant : 

a) l'entite a authentifier choisit au hasard un 
entier r dans {l..g}, calcule x=a r (mod p) , puis 
c-h[x,M) et envoie c a l'entite authentif iante, 

b) l'entite authentif iante choisit au hasard un 
element e dans {0..2*-l} et l'envoie a l'entite ^ 
authentifier, 

c) l'entite a authentifier calcule y=r+se (mod q) et 
envoie y a l'entite authentif iante, 
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d) l'entite authentif iante controle que : 
c=h (aYv^ (mod p) ,M) . 

Dans un environnement ou ce schema peut 
etre modifie selon 1' invention, alors le gain est 
exactement le meme que pour le protocole 
d 1 identification modifie. 
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RE VEND I CAT I ONS 

1. Precede d ? authentif ication a nombre 
reduit de bits transmis, entre une premiere entity dite 
a authentif ier et une seconde entite dite 
authentifiante, ce procede comprenant les operations 
suivantes : 

a) 1 ? entite a authentif ier choisit au hasard un 
(des) parametre (s) r, calcule un (des) nombre (s) 
appele(s) engagement (s) c fonction(s) du (des) 
parametre (s) r et envoie cet (ces) engagement (s) 
c & 1 T entite authentifiante, cet (ces) 
engagement (s) comprenant un certain nombre de 
bits, 

b) 1' entite authentif iante regoit le (ou les) 
engagement (s) c, choisit au hasard un nombre e 
dans un certain ensemble, ce nombre £tant appel£ 
"element" et ayant un certain nombre de bits et 
envoie cet §l£ment e k 1' entity a authentif ier, 

c) l f entite & authentif ier regoit 1' 61§ment e, 
effectue un (des) calcul(s) utilisant cet Element 
e et envoie le (les) resultat(s) y a 1'entitS 
authent i f iante , 

d) l f entite authentif iante regoit le resultat y, 
effectue un calcul utilisant le (les) resultat (s) 
y et verifie que ce calcul redonne le (les) 
engagement (s) regu(s) c auquel cas la premiere 
entite est authentifiee ; 

un niveau de securite egal & 1 - — pouvant §tre 

u 

defini pour cette authentif ication, a supposer que le 
(les) engagement (s) c poss£de(nt) un certain nombre 
minimum N de bits et que l'§16ment e fait partie d'un 
certain ensemble a u elements et possdde un certain 
nombre k de bits, 
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ce procede etant caracterise par le fait que : 

le nombre de bits de (des) engagement (s) c est 
pris tres inferieur a N ; 

1' ensemble dans lequel est choisi 1' element e est 
pris un peu plus grand, ce qui se traduit par un 
nombre de bits de 1' element e un peu superieur a 
k ; 

le niveau de securite restant alors le meme. 

2. Procede d' authentif ication selon la 
revendication 1, comprenant les operations suivantes : 

a) . l'entite ci authentif ier choisit au hasard un 

entier r compris entre 1 et un nombre q et cal- 
cule un nombre x egal a a r (modulo p) od a est* un 
entier appele base tel que ctt - 1 (modulo p) , et 
ou q est soit un nombre premier divisant p-1 soit 
6gal k p-1 ou p est un grand nombre premier ; 
l'entite a authentif ier envoie une fonction 
c=h(x) du nombre x ou h est une fonction 
pseudo-aleatoire) , le nombre envoye c const ituant 
1 1 engagement, 

b) . l'entite authentif iante B choisit au hasard un 

element e ayant un certain nombre de bits et 
envoie cet element a l'entite a authentif ier, 

c) . l'entite a authentif ier calcule un nombre y 6gal 

^ r + s.e (modulo g) , ou s est la cle secrete de 
l'entite a authentif ier, s etant un entier 
compris entre 1 et q, et envoie le nombre y a 
l'entite authentif iante, 

d) . I'entit6 authentif iante re?oit le nombre y, 

calcule aY ^ (modulo p) ou v est la cle publique 
de I 1 entity a authentif ier, soit v=a~ s (modulo p) 
et verifie c=h{ayv e modulo p) ) ; 
un niveau de securite egal a 1 - — pouvant etre defini 

en supposant pour l f engagement c un nombre minimum de 
bits egal a 128 et pour 1' element e un nombre de bits 
egal a k, 
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le proc£d£ etant caracterise par le fait que le nombre 
de bits de l f engagement c est inferieur a 128 de 
plusieurs dizaines d' unites et le nombre de bits de 
l 1 element e est superieur de quelques unites au nombre 
k, le niveau de s6curit£ restant le meme. 

3. Proc§de d' authentif ication selon la 
revendication 2, caracterise par le fait que le nombre 
de bits de 1* engagement c est voisin de 70 et le nombre 
de bits de l'61£ment e est voisin de 43, le niveau de 
securite obtenu 6tant le meme qu'avec un engagement c 
de 128 bits et un Element e de 40 bits. 

4. ProcedS d' authentif ication selon la 
revendication 2, caracterise par le fait que, dans 
1' operation c) 1' entity a authentifier calcule un 
nombre y 6gal A r + se. 

5. Proced§ d' authentif ication selon la 
revendication 1 dans lequel : 

a) . I'entite k authentifier choisit au hasard un 

entier r compris entre 0 et n, oil n est un grand 
entier non premier et calcule x = r u (modulo n) 
ou u est un entier ayant une certaine longueur et 
envoie k I'entite authentif iante le nombre c=h{x) 
ou h est une fonction pseudo-al£atoire, le nombre 
envoye c constituant 1 ' engagement . 

b) . I'entite authentif iante choisit au hasard un 

element e compris entre 0 et u-1 et envoie e £ 
I'entite a authentifier, 

c) . I'entite a authentifier calcule y=rs e (modulo n) 

ou s est la cl£ secrete de I'entite a 
authentifier telle que s u I=l (modulo n) , oft J est 
la cle publique de I'entite a authentifier, et 
I'entite a authentifier envoie le nombre y & 
I'entite authentif iante, 
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d) . l'entite authentif iante regoit le nombre y, 
calcule h {y u I e modulo n) ) et verifie que l'on 
retrouve 1 1 engagement, 

un niveau de securite egal 4 1 - j pouvant etre defini 

5 en supposant pour l 1 engagement c un nombre minimum de 
bits (N) 6gal a 128 et en supposant pour l f element e un 
nombre de bits £gal a k, 

ce procede etant caracterise par le fait que le nombre 
de bits de l f engagement c est inferieur a 128 de 
10 plusieurs dizaines d'unites, et le nombre de bits de 
1' Element e est superieur de quelques unites au nombre 
k, le niveau de securite restant le meme. 

6. Proc§de d f authentif ication selon la 
revendication 5, caracterise par le fait que le nombre 

15 de bits de 1 1 engagement c est voisin de 70 et le nombre 
de bits de 1' Element e voisin de 43, le niveau de 
securite obtenu §tant le meme qu'avec un engagement de 
128 bits et un Element e de 40 bits. 

7. Procede d T authentif ication selon la 
20 revendication 1, comprenant les operations suivantes : 

a) . l'entite a authentif ier choisit au hasard un 

entier r compris entre 0 et n ou n est un grand 
entier non premier, calcule x=r 2 (modulo n) et 
envoie a l'entite authentif iante le nombre c=h{x) 
25 ou h est une fonction pseudo-aleatoire, le nombre 

envoye c constituant 1 1 engagement, 

b) . l'entite authentif iante choisit au hasard un 

Element e comprenant un certain nombre de bits et 
envoie e k l'entite a authentif ier, 

30 c) . l'entite a authentif ier calcule le produit par r 
d'un produit de valeurs Sj ou 1' ensemble des Sj 
pour toute valeur de j constitue la cle secrete 
de l'entite a authentif ier, et l'entite a 
authentifier envoie le resultat y de ce calcul a 

35 l ; ei?tite authentif iante, 
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d) . I 1 entity authentif iante calcule la valeur du 
produit par y 2 du produit des vj (modulo n) , 
applique au resultat ainsi trouve la fonction h 
et verifie que le resultat trouve s'identifie & 
1 1 engagement c, 

un niveau de s&curite egal a 1 — — pouvant etre defini a 

supposer, pour l f engagement c, un nombre minimum de 
bits §gal k 128 et pour 1' element e un nombre de bits 
egal a k, en repetant t fois les operations a) & d) , 
ce proc6d§ 6tant caracterise par le fait que le nombre 
de bits de l 1 engagement c est inferieur a 128 de 
plusieurs dizaines de bits et le nombre de bits de 
1' element e est sup6rieur de quelques unites au nombre 
k, le niveau de s6curit§ restant le mime. 

8. Procede d' authentif ication selon la 
revendication 7, caracterise par le fait que le nombre 
de bits de 1' engagement c est voisin de 70, le nombre k 
de bits de 1 T element e voisin de 11 et le nombre t 
voisin de 5, 

9. Procede d f authentif ication selon 1'une 
quelconque des revendications 1 a 7, caracterise par le 
fait que l'entite authentif iante effectue en outre une 
authentif ication d'un message M emis par l'entite & 
authentif ier, l'entite k authentif ier calculant dans 
I 1 operation a un engagement c egal & h(x,M) oil M est le 
message & authentif ier, et l'entite authentif iante 
v6rifiant, dans l'op6ration d) que la fonction h du 
calcul qu'elle effectue et du message M qu'elle a recu 
est identique & 1' engagement c. 

10. Procede selon la revendication 1, 
caracterise par le fait qu'il comprend des echanges 
supplementaires entre la premiere et la seconde entites 
consistant chacun en l'echange d f un element e 
suppl£mentaire et d'un resultat y supplementaire. 



